トークンのエンパワーメント：暗号通貨業界におけるユーザーエクスペリエンスの最大の障害

トークン認証：暗号通貨業界におけるユーザーエクスペリエンスの最大の障害New

概要: DeFi を頻繁に使用するユーザーであれば、この面倒なプロセスに何度も悩まされたことがあるはずです。新しい dApp を使用するたびに、その dApp がトークンを使用することを承認する必要があります。

DeFiを頻繁に利用するユーザーであれば、この面倒なプロセスに何度も悩まされたことがあるはずです。新しい dApp を使用するたびに、その dApp がトークンを使用することを承認する必要があります。

Metamaskの認証インターフェース

従来の金融業界に例えると、このプロセスは、口座引き落としを申請し、電力会社に毎月銀行口座から電気料金を引き落とす権限を与えることに少し似ています。

しかし、暗号通貨業界とは異なり、従来の金融業界における口座引き落としビジネスは、信頼できる少数の企業のみが利用できます。こうした企業は消費者を欺く可能性が低く、たとえたまに欺いたとしても、消費者は異議を申し立てることができ、銀行は調停役を務めることができます。暗号通貨業界にはこのようなツールはありません。一部の dApp は匿名の開発者によって構築されており、詐欺被害に遭ったユーザーに対する紛争解決の仕組みは用意されていません。ブロックチェーン上で支払いが行われると、取り消すことはできません。

トークン委任とは何ですか?どのように機能しますか?

USDC や DAI など、Ethereum ブロックチェーン上のほとんどのトークンは、ERC20 標準を使用します。 ERC20 トークンは、実際にはtransferFromやburnなどのさまざまなメソッドを含むスマート コントラクトです。ユーザーがこれらのメソッドを呼び出すと、アプリケーションはトークンに対して対応する操作を実行します。

方法の 1 つは、 approveです。使用したい dApp は、ERC20 トークンを使用して操作するために、そのトークンにアクセスする必要があります。たとえば、Aave に USDC を入金する場合、2 番目のトランザクションを通じて Aave に USDC を入金する前に、まず Aave dApp のスマート コントラクトに USDC へのアクセス権を付与する必要があります。承認は Ethereum ウォレット UI で確認できます。利用可能な承認の量は理論的には柔軟ですが、ほとんどの dApp では、ユーザー エクスペリエンスを簡素化し、ユーザーがアプリを使用するために行う必要があるトランザクションの数を最小限に抑えるために、デフォルトで無制限の承認が必要になります。

ここでのセキュリティ上の問題の 1 つは、ほとんどのユーザーが自分の承認が特定のトランザクションに対するものであり、制限されていると考えていることです。しかし、ほとんどの場合、ユーザーは実際には、自分が保有する特定のトークンへの永続的なアクセスを dApp に許可しており、そのアクセスは無制限です。したがって、dApp にセキュリティ上の問題があったり、最初から悪意があったりすると、攻撃者はこの承認を悪用して、dApp ユーザーが保持する承認済みトークンをすべてユーザーの同意なしに盗む可能性があります。この攻撃は、ユーザーが dApp を使用してから何年も経った後でも、将来いつでも開始される可能性があります。

自分を守るにはどうすればいいですか?幸いなことに、これらの脅威から身を守ることは可能です。次のセクションでは、Metamask のような標準的な Ethereum ウォレットを使用するときにトークンを安全に保つ方法を説明し、dApp とやり取りするためのカスタム メソッドを可能にするウォレットをいくつか紹介します。

トークン認証を手動で取り消す方法

手動で承認を取り消す場合は、Token Allowance Checker などのツールを使用する必要があります。このようなツールはウォレットに接続し、ブロックチェーン全体をスキャンして、Ethereum アドレスに関連付けられているすべての dApp 承認を見つけることができます。その後、ライセンスを編集できます。ライセンスの使用可能量を 0 に設定してライセンスをキャンセルするか、許容できる量に設定します。承認された変更は、個々の ERC20 トークン コントラクトと対話することによって実現されます。

このプロセスを定期的に実行し、今後使用しない予定の dApp の認証を解除することをお勧めします。各取引をチェーン上で決済する必要があるため、多少のコストがかかりますが、長期的にはウォレットから相応の報酬が得られます。

ヒント: ガソリン代を節約したい場合は、Gas Station Network 拡張機能をダウンロードして、ブラウザでガソリン価格を追跡できます。ガス料金が安くなるまで待ってから、承認済みの空き状況を編集することもできます。

次世代のイーサリアムウォレットがユーザーの資金をどのように保護するか

リリースされているスマートコントラクトウォレットの中には、保護機能を備えているものもあります。スマート コントラクト ウォレットは非常に柔軟性が高く、ユーザーにカスタマイズされたスマート コントラクトの対話方法を提供できます。そのため、多くのスマート コントラクト ウォレットでは、ユーザー エクスペリエンスとセキュリティを向上させるためにカスタマイズされた認証方法が実装されています。

ネイティブ統合: Argent を例に

たとえば、Argent は、ユーザーが借り入れ、利回り獲得、取引を行えるように、いくつかのコア DeFi アプリケーションをアプリにネイティブに統合したモバイル Ethereum ウォレットです。

このようなウォレットは、これらの dApp をスマート コントラクト レベルで統合し、ユーザーがこれらの dApp とやり取りするときに、これらの dApp が実際に要求された金額のみ承認されるようにします。これらはすべてバックグラウンドで自動的に行われるため、Argent ユーザーは承認トランザクションが存在することさえ知りません。

アルジェント x ウォレットコネクト

ネイティブ統合の欠点の 1 つは、Argent のようにスケーラブルではないことです。アプリケーションがすべての DeFi プロトコルをネイティブに統合することは不可能です。ほとんどのユーザーにとっては、Argent が現在統合しているアプリケーションで十分かもしれませんが、DeFi のヘビーユーザーは毎日 12 種類以上の dApp を使用しており、少数の dApp に限定されることを望んでいません。

WalletConnect と呼ばれる標準がこの問題を解決する可能性があります。 WalletConnect を使用すると、ユーザーはモバイル ウォレットを Web アプリに接続し、モバイル ウォレットを通じてトランザクションに安全に署名できます。 Argent は WalletConnect の統合をカスタマイズ可能にし、ユーザーが利用可能な承認の量を簡単に設定できるようにしました (無制限の承認とはお別れです)。さらに、Argent ユーザーが考えを変えた場合、Argent アプリケーションでワンクリックするだけで dApp アプリケーションの承認を取り消すことができます。ほとんどの dApp は WalletConnect をサポートしているため、この機能により、Argent ユーザーは DeFi 分野全体を探索しながら非常に高いセキュリティを享受できます。

バッチトランザクションとdAppキー:Authereumを例に

認証をエレガントに処理する別のスマート コントラクト ウォレットは Autherum です。 Authereum は Web ベースであり、ほとんどの Ethereum dApp アプリケーションでサポートされています。さらに、Authereum は従来のメールとパスワードによるログインを使用するため、ウォレットを dApp に数秒で接続でき、セキュリティを犠牲にすることなく従来のアプリケーションと同様のユーザー エクスペリエンスが得られます。

ユーザーが dApp とやり取りする必要がある場合、Autherum は新しい一時的な dApp キーを生成し、その特定の dApp のトランザクションに署名します。 dApp キーは限られた機能しか実行できず、Autherum はいくつかの整合性チェックを実行します。リクエストを行っているドメインが dApp キーを作成したドメインでない場合は、Autherum はトランザクションを傍受するか、ユーザーに通知することができます。最後に、これらの dApp キーはいつでも Autherum ウォレットから削除できます。

複数のトランザクションを 1 つのトランザクションにまとめることには、他にも多くの利点があります。 1 つの利点は効率性です。トランザクションをバッチ処理すると、コストと時間が節約されます。 Ethereum での通常の転送トランザクションごとに 21,000 ガスが消費されます。ユーザーが一度に 10 件のトランザクションをパッケージ化すると、合計 189,000 ガスを節約できます。あるいは、ユーザーは連続したトランザクションを送信することで時間を節約することもできます。

トランザクションをバッチ処理する場合の唯一の問題は、トランザクションを適切に処理するために、dApp がカスタマイズされたロジックと UI フローを追加する必要があることです。今のところ、1inch や Erasure などの少数の dApp のみがこの取引モードをサポートしていますが、将来的にはさらに多くの dApp がこの取引モードをサポートすると予想されます。

結論は

トークン認証は大きなセキュリティリスクをもたらします。暗号通貨アプリケーションのユーザーエクスペリエンスとセキュリティを向上させたいのであれば、トークン認証機能を向上させる必要があることは明らかです。 Authereum や Argent のようなウォレットは、革新的な方法で dApp のやり取りをより安全にすることができます。残念ながら、多くの場合、このタイプのトランザクション モデルでは dApp 開発者による追加作業が必要になるため、ユーザーはしばらく辛抱強く待つ必要があります。

上記のソリューションを採用できない標準的な Ethereum ウォレットでは、少なくともユーザーが dApp トークンの承認利用可能残高を表示および編集できるようにする必要があります。トークン認証チェッカーのようなツールは便利ですが、すべてのユーザーがそれを認識しているわけではありません。